Обзор "Средства защиты информации и бизнеса 2007" подготовлен При поддержке
CNewsAnalytics Radware

Политика безопасности делает систему защиты эффективной

Политика безопасности делает систему защиты эффективной Защиту большой информационной системы невозможно решить без грамотно разработанной документации по информационной безопасности — Политики безопасности. Именно она помогает, во-первых, убедиться в том, что ничто важное не упущено из виду, и, во-вторых, установить четкие правила обеспечения безопасности. Только всесторонняя и экономически целесообразная система защиты будет эффективной, а сама информационная система в этом случае — защищенной.

По мере роста компании увеличивается ее информационная система. Естественно, что, чем обширнее она становится, чем больше интегрирована с другими системам, тем важнее и труднее становится обеспечение ее информационной безопасности. Компонентов становится много, проследить их взаимосвязь — сложно, следовательно, увеличивается и количество средств защиты. В такой ситуации основной задачей становится не столько само по себе обеспечение безопасности, сколько его целесообразность и эффективность.

В большой информационной системе эту задачу невозможно решить без грамотно разработанной документации по информационной безопасности, которая помогает, во-первых, убедиться в том, что ничто важное не упущено из виду, и, во-вторых, установить четкие правила обеспечения безопасности. При разработке системы защиты информации, важно ничего не забыть, и, с другой стороны, не тратить излишние средства. Естественно, что только такая всесторонняя и экономически целесообразная система защиты будет эффективной, а сама информационная система — защищенной.

Главным документом в области обеспечения безопасности в соответствии с ISO 17799 является Политика безопасности. Именно она закладывает основу обеспечения и управления информационной безопасностью компании. Как действует Политика безопасности

Доступ к информационным активам компании может предоставляться сотрудникам компании, а также клиентам, подрядчикам и другим посторонним лицам. Следовательно, пользователями Политики безопасности являются все те, кто имеют доступ к информационным активам компании и от деятельности кого зависит обеспечение безопасности информации компании.

Одним из основных принципов эффективного обеспечения безопасности является вовлеченность руководства в этот процесс. Это важно, в первую очередь, для того, чтобы все сотрудники понимали, что инициатива обеспечения безопасности исходит не от специалистов по информационной безопасности, а от топ-менеджмента компании. Кроме этого, учитывая тот факт, что в настоящее время обеспечение информационной безопасности интересует клиентов и партнеров компании, подпись ее главного лица на основополагающем документе по информационной безопасности будет гарантировать, что компания серьезно относится к информационной безопасности и пользоваться предоставляемыми ею услугами неопасно. Следовательно, содержание политики безопасности должно излагаться от имени руководства компании.

В документе политики безопасности следует описать цели и задачи информационной безопасности, а также ценные активы компании, которые требуют защиты. Целями обеспечения информационной безопасности, как правило, является обеспечение конфиденциальности, целостности и доступности информационных активов, а также обеспечение непрерывности ведения бизнеса компании.

Задачами обеспечения информационной безопасности являются все действия, которые необходимо выполнить для достижения поставленных целей. В частности, необходимо решать такие задачи, как анализ и управление информационными рисками, расследование инцидентов информационной безопасности, разработка и внедрение планов непрерывности ведения бизнеса, повышение квалификации сотрудников компании в области информационной безопасности и пр.

Ценные активы компании можно описать, например, так: «Положения настоящей Политики безопасности распространяются на все виды информации, хранящиеся или передающиеся в компании. В том числе, на информацию, зафиксированную на материальных носителях или передающуюся в устной или визуальной форме».

Основные принципы управления ИБ

В политике безопасности необходимо описать важность процесса управления информационной безопасностью, а также основные этапы функционирования данного процесса.

Система управления информационной безопасностью, построенная в соответствии с ISO 27001, предназначена для комплексного управления информационной безопасностью, а также для поддержания в актуальном и эффективном состоянии систем защиты информации. В Политике безопасности следует описать процесс разделения обязанностей по управлению и обеспечению безопасности, а также механизмы контроля над исполнением процедур обеспечения и управления безопасностью, возложенных на сотрудников компании.

Кроме этого, следует описать основные этапы процессного подхода к обеспечению безопасности как основы эффективного управления. В частности, каждая процедура системы управления информационной безопасности должна последовательно проходить этапы жизненного цикла: планирование, внедрение, проверка эффективности, совершенствование. Важно отметить, что эффективный процесс управления невозможен без тщательного документирования всех процедур — правильность и контролируемость выполнения процедуры зависит именно от наличия четко сформулированных правил ее выполнение. Кроме этого, важно определить, каким образом будет контролироваться эффективность функционирования всех процедур системы управления информационной безопасностью. В частности, следует описать правила ведения записей, подтверждающих выполнение процедур.

Организационная структура

С целью формализации процесса управления информационной безопасностью в компании требуется создание организационной структуры, которую необходимо описать в Политике безопасности.

В компании должны быть специалисты, непосредственно осуществляющие деятельность по управлению безопасностью — например, обучающие сотрудников компании, разрабатывающие критерии для оценки эффективности, планирующие мероприятия по управлению безопасностью и пр. Однако, кроме этого, учитывая тот факт, что процесс управления инициируется руководством компании и именно руководство его контролирует, следует создать рабочую группу по управлению информационной безопасностью. В рабочую группу, как правило, входят руководители различных подразделений компании. В обязанности группы входит утверждение документов по информационной безопасности, разработка и утверждение стратегии управления рисками, контроль выполнение процедур системы управления информационной безопасностью, оценка эффективности функционирования системы управления информационной безопасностью.

Основные подходы к управлению информационными рисками

Эффективная и экономически целесообразная система защиты информации строится на основе анализа информационных рисков. Без осознания того, что необходимо защищать и в какой степени, вряд ли удастся обеспечить требуемый уровень безопасности. Этот постулат требует своего отражения в Политике безопасности, как основа разработки системы обеспечения и управления безопасностью.

Кроме этого, следует описать основные принципы анализа и управления информационными рисками компании. В частности, отражаются следующие процедуры анализа и управления рисками — инвентаризация и категорирование информационных активов компании, аудит защищенности информационной системы, определение информационных рисков, определение уровня приемлемого риска, а также стратегии управлении рисками. Необходимо обратить особое внимание на то, что анализ информационных рисков — это регулярный процесс, который требуется выполнять с заданной периодичностью.

Основные требования к обеспечению ИБ

В Политике безопасности требуется кратко описать все процедуры системы обеспечения и управления информационной безопасностью. В частности, следует отметить такие процедуры, как контроль доступа к информационным активам компании, внесение изменений в информационную систему, взаимодействие с третьими лицами, повышение квалификации сотрудников компании в области информационной безопасности, расследование инцидентов, аудит информационной безопасности, обеспечение непрерывности ведения бизнеса и прочее.

В описании каждой процедуры необходимо четко определить цели и задачи процедуры, основные правила выполнения процедуры, регулярность или сроки выполнение процедуры.

Как вариант составления процедуры обеспечения безопасности можно рассмотреть описание процедуры контроля доступа к информационным ресурсам компании: «В целях обеспечения конфиденциальности, целостности и доступности информационных активов в компании применяется процедура контроля доступа. Доступ пользователей к информационным активам компании предоставляется только на основе производственной необходимости. Использование информационных активов компании в личных целях запрещено. Для каждого пользователя создается уникальная учетная запись с назначенными правами доступа. Все права доступа пользователей к информационной системе компании документально зафиксированы в матрице доступа. Контроль назначения прав доступа осуществляется на всех этапах доступа пользователей к информационным активам, начиная с регистрации нового пользователя и вплоть до удаления учетной записи пользователя информационной автоматизированной системы. Пересмотр прав доступа пользователей осуществляется регулярно не реже двух раз в год или в случае изменения должностных обязанностей пользователя. .Требования и рекомендации к процессу управления доступом пользователей к информационной системе компании изложены в «Инструкции по управлению доступом к информационным активам»».

В Политике безопасности требуется описать ответственность сотрудников компании за обеспечение и управление информационной безопасностью. Обязанность обеспечения безопасности возложена на всех сотрудников компании, а также — в соответствии с договором — на сторонних пользователей, имеющих доступ к информационным активам компании. Обязанность управления информационной безопасностью возложена на руководство компании.

Пересмотр Политики безопасности

Естественно, что вместе с изменениями в информационной системе компании, которые могут происходить достаточно часто, требуется вносить коррективы в систему управления информационной безопасностью, а также в Политику безопасности как документированное отражение основных правил работы системы управления. Следовательно, необходимо предусмотреть период пересмотра Политики безопасности. Данный раздел Политики безопасности может быть изложен, например, следующим образом:

«Положения Политики безопасности требуют регулярного пересмотра и корректировки не реже одного раза в полгода. Внеплановый пересмотр Политики безопасности проводится в случае:

  • внесения существенных изменений в информационную автоматизированную систему компании;
  • возникновения инцидентов информационной безопасности.
При внесении изменений в положения Политики безопасности Компании учитываются:
  • результаты аудита информационной безопасности;
  • рекомендации независимых экспертов по информационной безопасности».

Ссылки на документы по информационной безопасности

Политика безопасности, по сути, является каркасом, объединяющим все остальные документы, регламентирующие обеспечение и управление информационной безопасностью. Следовательно, при описании процедур системы управления информационной безопасностью следует указывать ссылки на документы, в которых требования к процедуре изложены подробно.

Таким образом, в Политике безопасности описываются все необходимые требования к обеспечению и управлению информационной безопасностью, структура управления безопасностью, а также обязанности и ответственность за обеспечение безопасности. В результате следования Политике безопасности и сопутствующим документам по обеспечению и управлению безопасности, защищенность информационной системы компании достигнет требуемого уровня, сотрудники компании будут осознавать свою роль и вовлеченность в процесс обеспечения безопасности. И, как следствие, требуемые информационные активы будут доступны в необходимые моменты времени, изменения будут вноситься только авторизованными пользователями, а конфиденциальность не будет нарушаться.

Наталья Куканова

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2007 г.

Toolbar | КПК-версия | Подписка на новости  | RSS